Contraseas seguras

Pgina 1 de 6

Siguiente: Gestin segura de cuentas Subir: Autenticacin para acceso al Anterior: Autenticacin para acceso al ndice de Materias Subsecciones
z z z z z z z z

Contraseas en Linux Seleccin de contraseas seguras Forzar la creacin de contraseas robustas Generadores de contraseas Descifrado de contraseas Envejecimiento y expiracin de contraseas Prcticas Contraseas de una sola vez

Contraseas seguras Es importante informar a los usuarios de la importancia de mantener su contrasea en secreto, sin compartirla con nadie
z

Hacerles responsables del dao que puedan causar

Normas bsicas a seguir

z z z

z z

No escribir la contrasea en ningn sitio No guardar la contrasea en un fichero sin encriptar Informar a los usuarios de las tcnicas que usan los crackers para obtener contraseas (p.e. enviar un mail preguntando por la contrasea, hacindose pasar por el administrador) Informar rpidamente de cualquier situacin anmala Nunca crear una cuenta compartida entre varios usuarios (los usuarios ven la cuenta como menos importante y tienden a compartir la contrasea; si es imprescindible hacerla, borrarla en cuanto sea posible) Nunca dar la contrasea de root a nadie

Contraseas en Linux

En Linux, habitualmente las contraseas se guardan encriptadas en el fichero /etc/shadow

z

Linux utilizan dos algoritmos de encriptacin: DES y MD5 { DES utiliza claves de 8 caracteres (poco seguro) { MD5 es ms robusto: permite un nmero ilimitado de caracteres la contrasea encriptada empieza por $1$ Si conoce la contrasea encriptada, un atacante puede obtener el password probando combinaciones y generando el hash para ellas, comparando con la versin encriptada { Con el incremento de potencia, hoy se pueden probar muchas combinaciones aunque no todas. { Utilizan diccionarios y combinaciones ``comunes'' con lo que reducen el espacio de

http://www.ac.usc.es/docencia/ASRII/Tema_2html/node4.html

02/05/2013

Contraseas seguras

Pgina 2 de 6

pruebas, descifrando las claves en tiempos razonables Necesidad de contraseas ``seguras''

Seleccin de contraseas seguras

Las herramientas de cracking de contraseas usan mecanismos inteligentes, accediendo a diccionarios e incluso a partir de datos del usuario proporcionados por el atacante (nombre, calle,...)
z z

Se debe buscar una contrasea difcil de adivinar y que no sea complicada de memorizar Utilizacin de mtodos mnemotcnicos para recordar contraseas, p.e. uso de acrnimos: 1. Pensar en una frase:
El perro de San Roque no tiene rabo.

2. Cambiarla a un acrnimo (incluyendo la puntuacin)

EpdSRntr.

3. Aadir un poco de complejidad sustituyendo letras por nmeros y smbolos

E3dS&nt6.

4. Practicar para poder teclearla con rapidez

Gua para la seleccin de una contrasea

z z

z z z z z z

Debe contener al menos 8 caracteres, que no sean slo dgitos o todo la misma letra No usar palabras de diccionario (aunque le aadamos nmeros o las invirtamos, p.e. juan98 o nauj89) No usar informacin personal: nombre, nombre de los miembros de la familia, nombre de mascotas, fechas de cumpleaos, nmero telefnico o cdigo postal, ... No usar palabras en otros idiomas, o nombres de personajes famosos No usar terminologa ``hacker'', p.e. 1337 o h4x0r Usar contraseas que combinen maysculas y minsculas Usar contraseas con caracteres especiales: +, *, _, $, &, ... Evitar combinaciones lineales del teclado (que pueden ser observadas fcilmente) Usar una contrasea que se pueda escribir rpidamente

Forzar la creacin de contraseas robustas

Es una buena idea para los administradores de sistemas verificar que las contraseas usadas dentro de la organizacin sean robustas
z

Normalmente, las distribuciones actuales utilizan contraseas MD5 por defecto: { Permiten ms de 8 caracteres (contraseas DES limitadas a 8 caracteres) { En el fichero /etc/shadow empiezan por $1$ { Podemos forzar un tamao mnimo mediante PAM, poniendo en el fichero /etc/pam.d/common-password

http://www.ac.usc.es/docencia/ASRII/Tema_2html/node4.html

02/05/2013

Contraseas seguras

Pgina 3 de 6

password required pam_unix.so md5 nullok obscure min=6 max=16

Tambin podemos usar PAM para verificar si la contrasea es fcil de descifrar o si es demasiado corta, a travs del mdulo PAM
pam_cracklib.so
z z

Para que este mdulo funcione, debemos instalar el paquete libpam-cracklib Alternativamente, es posible aadir ms verificaciones para la integridad de la contrasea, tales como pam_passwdqc (paquete libpam-passwdqc) Ejemplo de uso de pam_cracklib.so 1. Instalar el paquete libpam-cracklib 2. En el fichero /etc/pam.d/common-password comentar la lnea:
password required pam_unix.so nullok obscure min=4 max=8 md5 y descomentar las lneas1: password required pam_cracklib.so retry=3 minlen=6 difok=3 password required pam_unix.so use_authtok nullok md5

Las opciones del pam_cracklib indican que se permitan 3 intentos de cambio de contrasea, que la longitud mnima sea de 6 caracteres y que se diferencie como mnimo en 3 de la contrasea vieja La opcin nullok permite al usuario cambiar su contrasea desde una contrasea en blanco (de lo contrario una contrasea vaca o en blanco es tratada como un bloqueo de cuenta) La opcin use_authtok advierte al mdulo pam_unix a no solicitar de nuevo la contrasea (usa la registrada por el mdulo pam_cracklib) Para ms informacin, instalar el paquete libpam_doc o ver aqu

Generadores de contraseas

Existen varios programas que nos permiten generar de forma automtica contraseas
z z

Estas contraseas son muy resistentes a los programas de cracking El problema es que a veces pueden ser difciles de memorizar (ms fcil si se sabe ingls), y los usuarios acaban anotndolas en un papel

Ejemplos de estos programas son makepasswd, pwgen y APG (Automated Password Generator)
z z

makepasswd hace hincapi en la seguridad y no se fija en la pronunciabilidad pwgen genera passwords aleatorios, sin significado pero ms pronunciables $ pwgen 10 4 EigohNo8qu Baix7eeSoo ue4ahqu1aS ahgaiVogh8

apg es $ apg

ms completo y utiliza a su vez una clave para intervenir en la generacin de las claves

Please enter some random data (only first 8 are significant) (eg. your old password):>

http://www.ac.usc.es/docencia/ASRII/Tema_2html/node4.html

02/05/2013

Contraseas seguras

Pgina 4 de 6

ijniOteeb4 (ij-ni-Ot-eeb-FOUR) Wijwawirv1 (Wij-waw-irv-ONE) DiattIdjot1 (Diatt-Id-jot-ONE) RhulOckogEv0 (Rhul-Oc-kog-Ev-ZERO) Klofwoylch6 (Klof-woylch-SIX) ejawJirv8 (ej-aw-Jirv-EIGHT)

El comando passwd solo permite modificar el password en interactivo

z

Para cambiar los passwords cuando se crean muchos usuarios, se puede utilizar primero adduser con la opcin -disabled-login, y luego utilizar usermod o chpasswd O crear un fichero con toda la informacin de los usuarios y usar newusers para crear los usuarios

Descifrado de contraseas

El administrador puede buscar la existencia de contraseas ``dbiles'' mediante programas de descifrado

z

puede avisar a los usuarios para que cambien sus contraseas

Los programas de descifrado averiguan las contraseas usando fuerza bruta

z

z z

Utilizan diccionarios (que se pueden ampliar), para generar palabras que encriptan y comparan con las contraseas encriptadas Necesitan acceder al conjunto de contraseas encriptadas (p.e. fichero /etc/shadow) Existen muchas herramientas: Crack, slurpie, John the Ripper, RainbowCrack, Killer Cracker, Lard, PerlCrack, Xcrack, Nutcracker, ...

Las ms conocidas son:

Crack desarrollado por Alec Muffet, fue uno de los primeros programas de este tipo; puede obtenerse en www.crypticide.com/users/alecm/security/c50-faq.html John the Ripper permite encontrar contraseas dbiles, e incluso enviar un mail a los usuarios para advertirles del problema; www.openwall.com/john

Envejecimiento y expiracin de contraseas

La modificacin de las contraseas debera realizarse de forma peridica, tanto por parte de los usuarios normales como del superusuario
z

z z

De esta manera, una contrasea que ha sido descifrada por un cracker slo le es til por un tiempo determinado Para esto se puede utilizar el mecanismo de expiracin de contraseas Sin embargo, no es aconsejable hacer que los usuarios comunes cambien muy frecuentemente

http://www.ac.usc.es/docencia/ASRII/Tema_2html/node4.html

02/05/2013

Contraseas seguras

Pgina 5 de 6

la contrasea, pues tienden a repetirla y a escribirla Un plazo de 90 das de validez de contrasea podra ser til (depende del nivel de seguridad que deseemos)

Ya hemos visto como en el fichero /etc/shadow se indica el plazo de validez de la contrasea (ver tema 5 de ASRI)
z

El comando chage permite modificar esos plazos, por ejemplo para hacer que la contrasea de un usuario expire en 90 das
# chage -M 90 <usuario>

El comando chage permite ms modificaciones sobre la cuenta del usuario: { -E fija plazo de validez de la cuenta { -l lista informacin de envejecimiento de la cuenta { -m mnimo nmero de das emitir cambios de contrasea { -W das durante los que se avisa al usuario de que su contrasea va a caducar { -I das, una vez expirada la contrasea, en que se deshabilitar la cuenta Estos parmetros tambin se pueden cambiar manualmente en el fichero /etc/shadow o con los comando passwd o usermod

El fichero /etc/login.defs permite definir valores por defecto que afectaran a los usuarios creados con useradd o otras herramientas
z

Ejemplo de entradas:
PASS_MIN_DAYS PASS_MAX_DAYS PASS_WARN_AGE 3 90 7

especifica una validez mnima de contrasea de 90 das, una validez mxima de 3 y 7 das de aviso de caducidad Ver man login.defs para ms informacin

Prcticas
1. Probar el comando chage y ver como se modifica el fichero shadow 2. Modificar los parmetros de contrasea de login.defs y ver como afecta a la creacin de nuevos usuarios

Contraseas de una sola vez

Las contraseas de una sola vez (One-Time passwords) aumentan la seguridad si el usuario se conecta desde una conexin remota
z

Si la conexin es insegura (ftp, telnet) garantizan que aunque se descubra una clave no se podr utilizar En conexiones seguras (ssh) con contrasea evitan problemas de posible ruptura de la proteccin o lectura de teclado (keyloggers)

http://www.ac.usc.es/docencia/ASRII/Tema_2html/node4.html

02/05/2013

Contraseas seguras

Pgina 6 de 6

El usuario posee una lista de contraseas, y cada una slo puede usarse una vez
z z

Estas contraseas puede tenerlas anotadas o generarlas en una mquina segura Las contraseas se obtienen combinando un desafo (OTP challenge) con una palabra secreta del usuario Esta obtencin debera hacerse en una mquina segura

Las aplicaciones ms comunes son S/KEY o OPIE

Siguiente: Gestin segura de cuentas Subir: Autenticacin para acceso al Anterior: Autenticacin para acceso al ndice de Materias Administracin de Sistemas e Redes II <ASRII[at]gmail.com> Toms Fernndez Pena <tf.pena[at]usc.es> ltima actualizacin: 10-06-09 13:30 por tomas

Este trabajo est publicado bajo licencia Creative Commons Attribution-NonCommercialShareAlike 2.5 Spain.

http://www.ac.usc.es/docencia/ASRII/Tema_2html/node4.html

02/05/2013